Una nueva campaña de phishing que pretende ser un correo electrónico de "infracción de derechos de autor" intenta robar los códigos de seguridad de los usuarios de Instagram, lo que permite a los piratas informáticos eludir la autenticación de dos factores configurada en la cuenta.
La autenticación de dos factores es una característica de seguridad que requiere que los usuarios ingresen una forma adicional de verificación al iniciar sesión en la cuenta. Esta verificación suele realizarse en forma de códigos de acceso de un solo uso enviados mediante mensajes de texto SMS, códigos de una aplicación de autenticación o mediante claves de seguridad de hardware.
El uso de 2FA ayuda a proteger sus cuentas si sus credenciales son robadas o compradas en el mercado negro cibernético, ya que el actor de la amenaza necesitaría acceso a su dispositivo móvil o correo electrónico para iniciar sesión en su cuenta protegida.
Al configurar la autenticación de dos factores en Instagram, el sitio también proporcionará códigos de respaldo de ocho dígitos que se pueden usar para recuperar el acceso a las cuentas si no puede verificar su cuenta usando 2FA. Esto podría suceder por múltiples razones, como cambiar su número de teléfono móvil, perder su teléfono y el acceso a su cuenta de correo electrónico.
Sin embargo, los códigos de respaldo conllevan cierto riesgo, ya que si un actor de amenazas puede robar esos códigos, puede secuestrar cuentas de Instagram usando dispositivos no reconocidos simplemente sabiendo las credenciales del objetivo, que pueden ser robadas mediante phishing o encontradas en violaciones de datos no relacionadas.
Los mensajes de phishing que infringen los derechos de autor afirman que el destinatario ha publicado algo que viola las leyes de protección de la propiedad intelectual y, por lo tanto, su cuenta ha sido restringida.
Se insta a los destinatarios de estos mensajes a hacer clic en un botón para apelar la decisión, lo que los redirige a páginas de phishing donde ingresan las credenciales de su cuenta y otros detalles.
El mismo tema se ha utilizado varias veces, incluso contra usuarios de Facebook, y ha facilitado cadenas de infección para el ransomware LockBit y el malware BazaLoader, entre otros.
Nueva campaña de phishing en Instagram
La última variante de estos ataques fue detectada por los analistas de Trustwave, quienes informan que la creciente tasa de adopción de la protección 2FA empuja a los actores de phishing a ampliar su alcance.
Los últimos correos electrónicos de phishing se hacen pasar por Meta, la empresa matriz de Instagram, y advierten que los usuarios de Instagram recibieron quejas por infracción de derechos de autor. Luego, el correo electrónico solicita al usuario que complete un formulario de apelación para resolver el problema.
Al hacer clic en el botón, el objetivo accede a un sitio de phishing que se hace pasar por el portal de infracciones reales de Meta, donde la víctima hace clic en un segundo botón denominado "Ir al formulario de confirmación (Confirmar mi cuenta)".
El segundo botón redirige a otra página de phishing diseñada para aparecer como el portal "Centro de apelaciones" de Meta, donde se solicita a las víctimas que ingresen su nombre de usuario y contraseña (dos veces).
Después de desviar estos detalles, el sitio de phishing pregunta al objetivo si su cuenta está protegida por 2FA y, tras la confirmación, solicita el código de respaldo de 8 dígitos.
A pesar de que la campaña se caracteriza por múltiples signos de fraude, como la dirección del remitente, la página de redireccionamiento y las URL de las páginas de phishing, el diseño convincente y el sentido de urgencia aún podrían engañar a un porcentaje significativo de objetivos para que revelen sus credenciales de cuenta y códigos de respaldo.
Los códigos de respaldo deben mantenerse privados y almacenarse de forma segura. Los titulares de cuentas deben tratarlas con el mismo nivel de secreto que sus contraseñas y abstenerse de ingresarlas en cualquier lugar a menos que sea necesario para acceder a sus cuentas.
Si aún tiene acceso a sus códigos/claves 2FA, nunca hay motivo para ingresar sus códigos de respaldo en ningún otro lugar que no sea el sitio web o la aplicación de Instagram.
